云計(jì)算已經(jīng)進(jìn)入落地階段,發(fā)展大家更是有目共睹,很多企業(yè)開始考慮或是已經(jīng)擁抱云計(jì)算。云計(jì)算給中小企業(yè)帶來的福利也是多之又多,節(jié)省開支,創(chuàng)造新的資源等等。這些都是云計(jì)算的功勞,只是在這些優(yōu)點(diǎn)之中,大部分的人還是在擔(dān)心它存在的缺點(diǎn),其中最受關(guān)注的就是安全問題。對(duì)云計(jì)算中的威脅與風(fēng)險(xiǎn)進(jìn)行分析,有助于認(rèn)清云計(jì)算的利弊,充分利用云計(jì)算的優(yōu)勢(shì),同時(shí)采取合適的措施避免損失。
安全威脅
根據(jù)IDC的調(diào)查,安全問題一直是云計(jì)算中最受關(guān)注的方面。國(guó)內(nèi)的報(bào)告也有類似的結(jié)論,調(diào)查的受訪對(duì)象都有技術(shù)安全性方面的擔(dān)憂,恰恰是這種擔(dān)憂阻礙其遷移到云計(jì)算平臺(tái)。
事實(shí)上,有些云服務(wù)提供商會(huì)對(duì)用戶的數(shù)據(jù)進(jìn)行加密,同時(shí)還會(huì)將用戶的數(shù)據(jù)進(jìn)行備份,一段時(shí)間后才會(huì)摧毀這些數(shù)據(jù),所以企業(yè)在走入云端之前務(wù)必做好這方面的風(fēng)險(xiǎn)預(yù)估以及應(yīng)急方案。
因此,要讓企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù)與平臺(tái),放心地將自己的數(shù)據(jù)交付于云服務(wù)提供商管理,就必須全面地分析,并著手解決云計(jì)算所面臨的安全問題。
云計(jì)算管理著企業(yè)的關(guān)鍵數(shù)據(jù),企業(yè)和個(gè)人是不是會(huì)更容易成為黑客的攻擊對(duì)象呢?這也許不是一個(gè)常見的問題,但不是沒有發(fā)生的可能,鑒于云計(jì)算數(shù)據(jù)安全的問題,如醫(yī)療、金融等數(shù)據(jù)敏感型企業(yè)都不被建議應(yīng)用云技術(shù)。
數(shù)據(jù)威脅
數(shù)據(jù)問題對(duì)每位CIO來說都是頭等大事。因?yàn)樾孤稁淼淖畲筘瑝?mèng)就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競(jìng)爭(zhēng)者之手,這也讓高管們寢食難安,云計(jì)算則為這一問題增加了新的挑戰(zhàn)。
數(shù)據(jù)丟失對(duì)于消費(fèi)者和企業(yè)雙方而言,數(shù)據(jù)丟失都是非常嚴(yán)重的問題。而存儲(chǔ)在云中的數(shù)據(jù)則可能因?yàn)槠渌脑蚨斐蓙G失。云服務(wù)供應(yīng)商的一次刪除誤操作,或者火災(zāi)等自然因素導(dǎo)致的物理性損害,都可能導(dǎo)致用戶數(shù)據(jù)丟失,除非供應(yīng)商做了非常到位的備份工作。
但數(shù)據(jù)丟失的責(zé)任并非總是只在供應(yīng)商一方,比如如果用戶在上傳數(shù)據(jù)之前加密不妥當(dāng),然后自己又弄丟了密鑰,那么也可能造成數(shù)據(jù)丟失。
內(nèi)部操作問題
不論是在企業(yè)內(nèi)部還是云計(jì)算服務(wù)提供商內(nèi)部,人員的惡意操作都是非常危險(xiǎn)的,同樣后果也非常嚴(yán)重。云服務(wù)提供商肯定不會(huì)透露其雇員在物理服務(wù)器和虛擬化方面的水平,更不會(huì)告訴你他的分析和報(bào)告政策。
惡意的內(nèi)部人員在安全行業(yè),來自內(nèi)部惡意人員造成的威脅已經(jīng)成為一個(gè)爭(zhēng)議話題。對(duì)組織存在威脅的惡意內(nèi)部人員可能是那些有進(jìn)入企業(yè)組織網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)權(quán)限的在任的或曾經(jīng)的員工,承包商,或者其他業(yè)務(wù)伙伴,他們?yōu)E用權(quán)限,導(dǎo)致企業(yè)組織的系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性、可用性受損。
這也就意味著只要有了一定級(jí)別的授權(quán),內(nèi)部人員就可以獲得機(jī)密數(shù)據(jù)并控制云服務(wù),聽著就恐怖對(duì)吧!其實(shí),用戶是可以獲得這些操作的信息,只要在簽訂服務(wù)級(jí)別協(xié)議的時(shí)候提出來就可以了。